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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Erhdhung der Datenintegritat bei Datentragerkarten 

@ Vorgestellt wird ein Verfahren und ein System zur Erhd- 
hung der Datenintegritat auf Chipkarten. ErfindungsgemaS 
wird eine Sequenz von Schrelbvorgangen auf einer Chipkar- 
te als Einheit definiert, fur die die Integrltat der zu schreiben- 
den Daten sichergestellt wird. Bei dem Schrelbvorgang kann 
es sich urn das Schreiben von Daten in eine Oder mehrere 
Dateien handeln. Vorzugsweise werden die Daten einer 
Integritatseinhcit d. h. eine Einheit von Daten, fur die die 
Integritat sichergestellt werden soil, in einen Schattenspei- 
cher geschrieben. 

Das erflndungsgemalSe Verfahren verringert die Wahr- 
scheinlichkeit erheblich, daB durch einen Fehler beim 
Schreiben von Daten auf die Chipkarte die Integritat der 
Daten gestort wird. Daten konnen Qber die Grenzen von 
" Schreib-Lesegeraten wiederhergestellt oder komplettiert 
t werden. Das erfindungsgemafSe Verfahren kann als Basis 
dazu dienen, Datenbestande au&erhaib der Chipkarte konsi- 
■ stent mit den Daten auf der Chipkarte zu halten. 
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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 
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Beschreibung 
Oebiet der Erfmdung 

^ Die Erfindung betrifft die Datenintegrhit bd Anwendungen nut Datentragerkarten. 

Stand der Technik 

10 Gesicherte Datentragerkarten oder Chipkarten (Smart Cards) finden heutzutage Anwendung in einer Reihe 
unterschiedlidier Funktionen und werden mit steigenden Stuckzahlen verbreitet Zum Teil werden auf den 
Chipkarten Daten von betrachtlichem Wert dargesteUt, wie Zahlungsmittel Zahlungsnuttelrahmen oder person- 
liche (z. B. medizinische) Daten. Das Konzept der gesicherten Chipkarte als verteilter personlicher Datenspei- 
cher und zum Teil anch datenschutzrechtiiche GrOnde verhindem und erschweren eine Datensichenmg. Aus 

15 (Uesen Grflndcn mufi an die Integritat der Daten auf der Chipkarte hochste Ansprflche gestelit werden. Bei den 
zu erwartenden hohen StGckzahien in der Verbreitung von Chipkarten fiihren selbst niedrige Fehlerraten zu 
betrachtUchenMengenanFehlera ^ j -» . j. 

Unter der Integritat von Daten versteht man die FeUerfreihdt der Daten in dem Snm^ daB sic die ihnen 
zugrunde geiegten Informationen ais richtiges Abbild der Realitat bemhalten und damit flir dne dmivoQe 

20 Datenverarbeitung verwendet werden konnea Entsprediend bedeutet eine Konsistenz der Daten die Oberem- 
stimmung der Daten mit der Realitat, die sie reprasentierten. Dazu ist sowohi eine formale (phyasdie Beschaf- 
f enheit) als audi eine inhaltliche (semandsche, fimktionelle) Voraussetzung zu erfOllen. 

Die Integritat der Daten auf der Chipkarte ist gefahrdet insbesondere durdi phydkalisdie Emflusse sowohi 
auf die Oiipkarte als soiches als audi wihrend eines Sdu'eibvorgangs. 

25 Die meisten verwendeten Chipkarten implementieren den ISO-Standard 7816-X oder deren analoge nationa- 
len Standards. Daten auf der Chipkarte sind demgemaB in Dateien orgamsiert Teile emer Datei kdnnen als 
Datensatz oder als beliebige Zeichenfolge mit Sdveibkommandos gesduieben werden. Fehler» die wahrend des 
Schreibvorgangs in der Chipkarte auftreten. werden an das Schreib-Lesegerat gemeldet Wird der Sdirdbvor- 
gang aus mechanischen. elektrisdien oder dektronischen Grflnden nicht beendet und das Sdirdb-Lesegerat 

30 und/oder die Oupkarte kann keine Fehlerbefaebung einldten, sind die Daten inkonastent 

Insbesondere werden Qiipkarten unmer hSufiger zusammen mit nidit motorgetriebenen Qiipkartenlesem 
eingesetzt Speziell bei diesen Billiglesem, bei denen das Bn- und AusfOhren der Oupkarte manudl gesdiieht, 
kann der Benutzer der Qiipkarte den Vorgang durdi vorzeitige Entnahme der Chipkarte unterbredien. Audi 
auBere Enflusse wie Erschutterungen oder StromausfaU kdnnen zu soldien Unterbrediungen der laufenden 

35 Anwendung fuhren. Dies kann zur Folge haben^ daB die unterbrochene Anwendung inkonslstente Datenbestan- 
de auf der Chipkarte und im Chqikartenleser zurllckllBt, die die O^karte fOr die wdtere Anwendung un- 
brauchbar macht . 

Auf einer Chipkarte seien beispielsweise 2 Funktionen untergebracht: eine elektronisdie Borse und erne 
Bereditigung zum Besuch eines FitneBstudbs. Jeden Monat wird die Berechtiguntg durdi das Ausbuchen der 

40 Gebuhr aus der B5rse verlingert Dieser Vorgang kann aus den folgenden Sduitten bestehen: 

— Abbudien des Betrages aus der Bdrse 

— Bestatigung der Abbudiung durdi die Chipkarte und 

— Veriangerung der Bereditigung. 



45 



Wffd die Chipkarte nun zwischen den ^en beiden Schritten entnonunenp erluUt man einen inkonsistenten 
Zustand: Der Betrag ist abgebucht, aber die Berechtigung nidit verlangert Da der Chipkartenleser auch die 
Bestatigung der Abbuchung nidit erhdten hat zeigen seme Daten an» daB er weder abgebucht nodi die 
Berechtigung verlingert hat Damit bt cfie Chipkarte unbrauchbar und kann audi nidit mehr in einen konasten- 
50 ten Zustand gebracht werden. ^ , e t - 

Die hn Stand der Tedmik bekannten Verfahren zum Schreiben von Daten auf Chipkarten hefem kerne 
Mogtichkdt die Integritat der Daten zu gewahrieisten, insbesondere wenn der Sdu-dbvorgang wahrend des 
Schreibens abgebrochen wvd. 

55 Zusammenfassung der Erfindung 

Es ist Aufgabe der Erfindung ein Verfahren zur Erhdhung der Datenmtegritat auf Chipkarte zu erreidien. IMe 
Aufgabe der Erfindung wird durdi die unabhangigen Ansprudie gddst 

ErfindungsgemaB wnrd dne Sequenz von Sduvibvorpngen auf einer Chipkarte als Einheit deHniert fur die 
60 die Integritat der zu schreibenden Daten sidiergestellt wud. Bd dem Sdireibvorgang kann es sidi um das 
Schreiben von Daten m eine oder mehrere Datden handehL 

Eine Integritatseinheit d. h. eine Einhdt von Daten, fur die die Integritat sidiergestellt werden solt wird 
vorzugsweise durch eine Kennung identifiziert Der Start einer Integritatseinheit wird vorzugsweise nut einem 
definierten Startkommando an die Chipkarte implementiert oder aitemativ dazu durch eine Kennung in jedem 
65 Schreibkommando festgelegt Das Ende der Integritatseinheit wird vorzugsweise mit einer Sequenz von Kom- 
mandos angezeigt die bd einem erfolgreich durchgefOhrten Obertragungsvorgang zu einem festen Schreiben 
der Daten in einem Speicher der Chipkarte fuhren oder bei einem nicht erfolgreidien Obertragungsvorgang den 
Schrdbvorgang abbrechen. 
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Vorzugsweise werden die Daten einer Integritatsemheit in dnen Scbattenspeicher geschrieben. Schattenspei- 
cher kdnnen beispielsweise implementiert werden durdi kompiette Kopien der Dateten, in die die Daten 
geschrieben werden soUen oder durch Kopieren des Datenteiis einer Datei, der bescfarieben werden soB, wobei 
der Dateikopf einen Verweis auf die Origioaldaten erh§lt Weiterhin kdnnen Scbattenspeicher durch Kopien von 
Dateisatzen, in die die Daten gespeichCTt werden sollen, in satzorientierten Dateien, wobei der Dateikopf 5 
Verwdse auf aufeinanderfolgende Satze enthalt, implementiert werdea 

Vorzugsweise wird das Ende einer Integritatseinheit mit einer Sequenz von zwei Kommandos wie z. R 
"Schreiben vorbereiten" und ''Schreiben", bzw, durch ein Kommando, das ein Abbrecfaen des Schreibvorgangs 
der Integritatseinheit bewirkt» wie 2.E "Schreiben abbredien" angezeigt Mit dem Kommando *&hreiben 
vorbereiten* werden die Verweise auf die neuen Daten so vorbereitet, daB mit einem Minmmm an bendtigten lo 
Schreibaufwand die GQlti^eit der neuen Daten f estgelegt werden kana Dies kann z. B. durch em Anlegen eines 
Datenverzeichnisses erfolgen, welches die Verweise auf die jeweils gflltigen Daten enthilt \Gt dem Kommando 
"Schreiben* wird die GQltigkeit der neuen Daten festgelegt, eine Rfickmeldung an das Schreib-Lesegcrat 
gegeben und die neuen Daten als gultige Daten festlegt Der Speicher fur die bisher gultigen Daten kam 
freigegeben und beispielsweise als ein weiterer Scbattenspeicher verwendet werdea Es ist zu verstehen, daB die is 
Zuordnung eines Speicherbereiches zum Schattenspeidier nicht permanent sein muB, sondem daB die Zuord- 
nung nadi Bedarf» als em dynamischer FrozeB, definiert werden kana 

Durch das erfindungsgemiBe Verfahren wird die Wahrscheiniichkeit, daB Fehler cUe Integritat der Daten 
stdren kdnnen wesentlichreduziert , . • . • . , 

Mit dem entsprechenden Kommando^ das ein Abbredien des Schreibvoigangs der Integritatsemhwt bewwkt 20 
wie z. B. "Schreiben abbrechen", wird der Schattenspeidier zu emer emeutoi Benutzung frdgebea Die origjna- 
len Daten bleiben nach wie vor zur Verfugung. 

Ein weiteres Kommando^ wie beispielsweise Tntegritatsstatus", dient vorzugsweise dazu, den Status der 
Integritatseinheit zu erfragen, d. h. beispielsweise ob und welche Integritatsemheit noch nicht beendet ist 
Aufgrund dieser Information kann die Integritatseinheit, z. B. nach einem Fehler in dem Schreib-Lesegerat 25 
abgebrochen oder in einem anderen Schreib-Leseger§t geordnet beendet werdea 

Das erUndungsgemafie Verfahren verringert die Wahrscheinlichkeit erheblich, daB durch einen Fehler beim 
Scfareiben von Daten auf die Chipkarte die Integritit der Daten gestort wird. Daten kdnnen fiber die Grenzen 
von Schrdb-Lesegeriten wiederhergestellt oder komplettiert werdea Das erfindungsgemafie Verfahren kann 
als Ba»5 dazu dienen, Datenbestande auBeriialb der Oiipkarte konsistent mit den Daten auf der Chipkarte zu 30 

haltea . . • « • 1. t> 

Als Integritatsdnhdten kdnnen vorzugsweise sogenannte Transakdonen, wie sie aus dem Bereich von Daten- 

bankensystemen bekannt sind, definiert werdea 
Weitere, vorteiihafte AusfOhrungen der Erffindung finden sidi in den UnteransprOchea 

35 

Detaillierte Beschreibimg der Er&idung 

Die Datenbestande der einzelnen Chipkartenfunktionen und die Daten des Lesegerates, bzw. des treibenden 
Rechnen, bilden — abstrakt gesehen — eine verteilte Datenbank. Erne Methode urn verteilte Datenbanken 
konsistent zu halten. smd Transaktionea Als eine Intcgrationsemheit, d h. als eine Snhdt von Daten, fur die die 40 
Integritat sichergestellt werden solt wird eine Transakdon festgelegt TVansaktionen and insbesondere gekenn- 
zeichnet durch 4 Eigenschaftea Transaktionen sind: 

— unteilbar, d. h. sic werden cntweder vollstandig oder gar nicht ausgefOhrt was durch ein "two phase 
commit" (Zwei-Phasen-Festschrdbcn)Vcrfehrenerrdcht werden kann; 45 

— konsistenzerhaltend, d h. die Daten dnes transaktionsgeschatzten Datensalzes smd in sich stimmig, was 
unter Zuhilf enahme des "two phase commif Verf ahrens erreicht wird; 

— isoliert d h. parallel ablaufende Transaktionen beeinflussen sich gegenseitig nicht; was durch em Blodde- 
ren der von einer Applikation bendtigten Daten fOr andere Applikationen bewerkstelligt werden kann; ^ 

_ dauerhaft, d h. die Dauerhaftigkeit der Anderungen an emem Datenbestand fat bei der Chipkarte db^kt 50 
gekoppelt mit der Dauerhaftigkeit der in dnem beschreibbarea nicht fluchtigen Speicher (z. B. dnem 
EEPROM) der Qiipkarte gespddioten Daten. wodurch die Dauerhaftigkeit fur die Daten auf der Chipkar- 
te i^ ausreichend ist 

Die Problematik der isoliert bzw. parallel ablaufenden Transaktionen kann auf der Chipkarte auch dadurch S5 
umgangen werden, daB immer nur eine Transaktion glelchzeitig zugdassen wird 

• Das erfindungsgemaBe "two phase commit" Verfahren fur Chipkartendaten garantiert, daB entweder alle 
Aktionen auf der Chipkarte mnerhalb emer Transaktion oder kdne ausgefuhrt werdea Um deses 'two phase 
commit" Verfahren zu in^lementieren. wird definiert: 

— ein Anf ang der Transaktion, entweder implizit durch 

— ein Anlegen einer Versorgungsspannung ("Power on") an die Chipkarte, 

— einen Schreibzugriff auf transaktionsgeschfitzte Datea oder explizit 

— durch einen vorgegebenen Transaktionsbefehl wie beispielsweise: Transaktion beginnen" oder 
"start transaction"; ^ 

— eine Reihe von Transaktionssteuerungsbef ehlen, wie z. B.: 

— "Schreiben vorbereiten" oder "prepare to commit" (Vorbereiten auf das Ende der Tiansaktion) 

— "Schreiben" oder"commit"(Ende-derTransaktion) 
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^ ':5du^enabbrechen''oder'Woir(AbbraGfaderTk?iisaktionX 

Die Chipkarte muB wetterhin in der Lage sein, Andeningen an einem Datenbestand sett dem Zeitpunkt des 
Beginns der Transaktion wieder rildcg^n^ zu machen. Dies kann dadurch erreicht werdra, indem ein Datenbe- 
stand, der verandert werden soil, in einen Sdiattenspeicher dupliziert wird und die Anderungen nur an einer 
Hitfte der Daten» also entweder der Kopie od^ dem Original, ausgefOhrt werdea Vorzugsweise werden 
Andeningen nur an der im Schattenspeicher abgelegten iCopie dorchgefOhrt Wurde die Transaktion erfolgreich 
durchgefOhrt wird die verSndene Haifte der Daten zmn gOltigen Teil eridirt Wurde die Transaktion nicht 
erfolgreich durcfagefuhrt, also z. B. abgebrodhen, bleibt die unverinderte HMfte gOltig. 

Zur pennanenten Speichening veranderbarer Daten werden in Chipkarten voizugsweise EEPROM Speicher 
(Electrical Erasable Programmable Read Only Memory) als beschreibbare, nicht fiflchtige Speicher eingesetzt 
die sich insbesondere dwch folgende Eigenschaften auszdchnen: 

— ein Ldschen von Daten, dh. ein Zurixcksetzen der einzehien Speicherzellen des EEPROM in einen 
inaktiven Zustand, ist nur in grdBeren Einheiten, sogenannten Tages" (z. B, 32 Bytes) mdglich (die GroBe 
dieser Elnhdt wird meist durch den Hersteller vorg^eben); 

— ein Setzen von Daten ist bitweise mdglich, d. h. ein Aktivieren der einzelnen SpeidierzeDen ist unabhan- 
gtg von den anderen Speicherzellen innerfaalb der gewahlten Tage** durchfOhrbar; 

— die Anzahi der L5sdi-Schreibzyklen ist jedoch durch die Lebensdauer des EEPROM limitiert (GrdBen- 
ordnung 10**4 Losch-SchrdbzyklenX em Qbcnpropordonal haufiges Sdireiben auf dne Speidieradresse 
muB dahervermi^n werden. 

In anderen Worten ist ein L5schen nur kollektiv fur eine gesamte "Page" moglich, wahrend Daten inneriialb 
der Tage** individueil gesetzt werden kdnnea Em Verandem von Daten erfolgt im aUgememen durch 
Ldschen der "Pages' auf denen sich die Daten zusammen mit anderen Datensatzen befinden und ein anschlieBen- 
des Schreiben der verdnderten Daten und der Datensitze die nicht verandert werden sollten. Wird dieser 
Vorgang z. a durch Stromausf all unterbrocheut sind aile Datensitze auf der "Page" ungOltig. Dies zeigt; daB 
Datens§tze» die auf emer gemeinsamen "Page" liegen, sidi gegenseitig beeinflussen kdnnen. 

Die Hgenschaft des EEPROM, daB ein Ldschen von Daten nur in grdBeren Einheiten, den sogenannten 
"Pages" mdglich ist, muB bei einem Duplizieren von Daten im EEPROM Speicher beriidcdchtigt werden. Es ist 
darauf zu achten, daB die beiden Halften (Original und Kopie im Scfaattenspeidier) des Datenbestandes nicht auf 
derselben "Page" liegen,damit eine gegenseitige Beeinflussung ausgeschlossen werden kann. 

Bei grdBeren Datenbestinden kdnnen die Daten in Transaktionseinheiten unterteilt werden. Dies hat den 
Vorteil, daB nur die Transaktionsemheiten kopxert werden mOssen, die audi verandert werden. Ist gewahrleistei; 
daB von einem grdBerem Datenbestand der in Emheiten aufgetdlt ist, pro TVansaktbn nur eine Einheit 
verandert wuti, genOgt es filr diese Emhdt nur einen Schattenspeicher anzulegea Es muB daher weniger 
Speicherplatz fOr den Schattenspeicher zur Verfugung gesteUt werden. 

Damit Kopie und Original auseinander gehalten werden kdnnen, stattet man sie vorzugsweise mit je einem 
Zahier aus. Beim Erstellen der Kopie wnd der ZShler beispielsweise um 1 erhdht Damit mrd (fie Aktualitit der 
Daten durch den Zahlerstand reprasentiert (hdherer Zahlerstand « neuere Daten)L Die Verwendung der Zahier 
hat den Vorteil, daB keine Daten des Ori^nals verindert werden mussen. 

Da es nur zwei Verstonen des Datensatzes (Original und Kopie) fur die durchzufuhrende Transaktion gibt und 
die Zahier dieser Kopien sich nur um I unterscheiden, kann ein Modulo-Zihler verwendet werden. Dies 
vermeidet auch das Problem ernes Z§hlerQberlaufe$. Bei Verwendung z. B. eines Modulo-4 Zahlers kann die 
altere Kopie wie folgt bestimmt werden: wenn der Zahlerstand der seiektierten Version + 1, modulo 4 den 
zahlerstand der anderen Kopie ergibt» handelt es sich um die altere Version des Datensatzes. Anhand der unten 
auf gefuhrten TabeUen 2 und 3 laBt sidi beispielsweise bestmunen, welche Daten zu emem bestimmten Zeitpunkt 
gUltigsind. 

Zur Verwaitung der Zustande und Koordination der Transaktion wird vorzugsweise jeder Transaktionsem- 
heit einer der folgende Zustande zugeordnet: 

— 1^ata_0pened" d. h. diese Verdon der Transaktionseinheit wurde neu erstellt und ist fOr Verindmrngen 
zugangiich; 

— T>ata_Prepared", d. L an dieser Version der Transaktionseinheit sind alle Anderungen beendet, und es 
durf en auch keine mehr vorgenommen werden; 

— "Data Committed", d. h. diese Version der Transakdonseinhett im Schattenspeicher wird zur neuen 
gultigen Version des Datensatzes erklart; 

^ "Data_Unrolled*, d. h. die Anderungen Im Schattenspeicher werden fur ungOltig erkl3rt und der Schat- 
tenspeicher kann anderweitig verwendet werdea 

Diese Zustande mQssen durch Bitkombmationen im EEPROM Speicher reprasentiert werden. Bedingt durch 
das Ldschen von "Pages" kdnnen unerwOnsdite Zwischenzustande entstdien, d. h. Bitkombinatk>nen, die weder 
den Ausgangs- noch den Endzustand besdveiben. Um dies zu vmneiden, werden die Zwischenzustande un 
EEPROM vorzugswdse so reprasentiert; daB die ^istandsfolgen: 

— Data_Opened,Data_Prepared,Data_Committed 

— Data_Opened,Data3Prepared,Data^Unrolled 

— DatajOpenedt Data|]]UnroIIed 
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nur ein Akthderen von Datenelementen im EEPROM erfoidem und sondt kein Loschen erforderlidi ist Dies 
kannz. B.durchdiefolgeiide ReprasentatioiiderZustindCiWicinTabene 1 dargesteDt,erfolgeii, wobeieine 1 ftir 
ein akdves Bit im EEPROM steht 

TabeUe 1 5 
Belspiel einerZustandstabelie dnerTransakdon, wobeix'Zustandbeliebig'bedeutet 



Zustand 


Reprasentatloxi 1 


'data_ppened' 


'000' 1 


• da ta^prepared • 


'001' 1 


• data_commi tted • 


'Oil' 1 


'data unrolled' 

1 ' 


'Ixz' 1 



Beim Start einer neuen Transaktion muB von dem Zustand ''data^unrolied* in den Zustand ''data_opened*' 25 
abergegangen werden. Hier ist nun ein Loschen der Reprasentadon des Zustands im Speicher (vgL TabeUe 1) 
ndtig. Dabei kdnnen durdi Unterbrechen des L5schvorgangs die unerwunschten Zwischenzustande "01 r und 
"OOr entstehen. Damlt diese Zwischenzus^de nidit zu einem ungewunsditen Ergebnis fuhren, werden die 
gmtigen Daten vor dem L5sdivorgang in den Sdiattenspeidicr kopiert Somit entsprechen beide Datensatze 
(Originaidaten und Daten im Sdiattenspeicher) der gQltigen Version und bei einem Auftreten von Zwischenzu- so 
standen kann eine beliebige der guldgen Versionen ausgewahlt werden. 

Zusatzlich kann noch ein giobaler Merkw verwendet werden, wie z. E nTransaction^m^Prooess^, der anzeigt* 
ob gerade eine Transakdon aktiv ist Der globale Merker eriaubt somit ein Erkennen von Zwischenzustanden. 
Zwischenzustande konnen nur auftreten, wcnn der globale Merker 'transaction_inj>rocess" anzetgt daB kdne 
Transaktion aktiv ist Daher darf der globale Merker erst akdv gesetzt werdea wenn die Kopie den Zustand 35 
"data^opened^hat 

Zahler und Zustandsanzeiger werden vorzugsweise auf von den Daten getrennten Tages^ untergebracht 
damit das Schreiben von Daten die ZustSnde nicht beeinflussen kann. Dies gilt auch fur die Zahler und 
Zustandsanzeiger unterscfaiedlicber Versionen des Datensatzes. 

Aus Zustand und Zahlerstand beider Versionen des Datensatzes und dem globalen Merker "Transaktion in 40 
Bearfoeitung* oder "transaction_inj)rocess" kann zu jedem Zeitpunkt geklart werden, wekihe Daten beim Start 
einer neuen Transaktion gOldg sind. Die folgenden Tabellen 2 und 3 zeigen die mogiichen Zuordnungen. 
Dabei-bedeutet daB diese Venlon des Datensatzes den kleineren Z&hlerstand hat 
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TabeUe2 

GQltigkdtstabelle fOr den globalen Merker "transacdon^injiroces^ akthr 



5 


•alte' 


*neue' 


giiltig 




Daten 


Daten 




10 


Oil 


000 


Giiltlg sind hier die 'alten' 








Daten. 








Die vorhergehende Ttransaktlon 


15 






wurde abgebrochen. Da der Zustand 








'Data_Prepared* noch nicht 










20 






Daten geloscht werden* 




Oil 


001 


Die Gultigkeit der Daten muB von 


25 






der Anwendung geklSrt werden, da 








die vorhergehende Transaktlon 








abgebrochen wurde « 


30 


on 


oil 


Gultig sind hier die 'neaen* 








Daten. Die vorhergehende 








Transaktion war erfolgreich, aber 


35 






die Transaktionsverarbeitung wurde 








vor einer Invalidierung der 








'alten' Daten abgebrochen. Die 


An 






*alten* Daten kSnnen gelSscht 








werden 


45 


oil 


Ixx 


Gultig sind hier die 'alten* 








Daten. 








Die vorhergehende Transaktion 


50 






wurde abgebrochen. Der Zustand 








'DataJEnrolled' zeigt an, dafi die 








'neuen' Daten geloscht werd«i 


55 






konnen. 



GO 
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TabeUe3 

GQltigkeitstabelle fOr den g^obalen Merker "transaction_in jprocess" oidit aktiv 



•alte' 
Daten 


'neue' 
Daten 


gultig 


Oil 


000 


Giiltig sind hler die *alten' 
Daten. 

Die vorhergehende Transaktion 
wurde abgebrochen. Da der Zustand 
'Data^Prepared' noch nicht 
erreicht wurde, kSnnen die neuen 
Daten geloscht werden. 


oil 


001 


Gultig sind hier sowohl die 
'axten axs aucn cixe neuen 
Daten. 

Der Zustand 001 kann auSerhalb 
einer lauf enden Transaktion nur 
als Zwischenzustand auftreten, in 
dem sowohl Original als auch Kopie 
gultig sind. 


oil 


oil 


Gultig sind hier sowohl die 
*alten' als auch die * neuen* 
Daten* 

Der Zustand Oil kann aufierhalb 
einer laufenden Transaktion nur 
als Zwischenzustand auftreten, in 
d^ sowohl Original als auch Kopie 
gultig sind. 


Oil 


Ixx 


Giiltia sind hier die 'alten' 
Daten. 

Die vorhergehende Tremsaktion 
wurde abgebrochen. Der Zustand 
•Data_Enrolled' zeigt an, dafl die 
* neuen* Daten geloscht werden 
konnen. 



Da die Gultiglceit der Daten m besonderen I^len nur rait Hilfe der Applikation geklart werden kann, wird der 
Transaktion vorzugsweise ein eindeutiger Name zugeordnet, damit die Applikation das Protokoli des entspre- 
chenden Transaktionsablaufes identifizieren kann. Dieser Transakdoosname kann z. a aus einer Chip-Serien- 
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nuinmer und einer laufenden Transaktionsniunmer bestehen. 

Fur eine Implementierung auf einer Chipkarte Icann der Anf ang einer TransaktioQ durch einen Transakdons* 
bef eh], wte z. B. den Befebl "start transaction* bestimmt werden. Wird der Anf ang einer Transaktion erkannt und 
ist noch keine Transaktion einer anderen Applikation in Bearfoeitung, werden die gOltigen Daten ennitteit und in 
den Schattenspeicher kopiert Erst dann wird die Kopie in den Zustand Mata^opened* gebracht Ist dies 
erfoigreich durcKigefQhrt worden, kann der gbbale Merker "transaction^injirooe^ gesetzt und der Applika- 
tion £e laufende Transaktionsnummer mitgeteih werden. Konnte die gfitige Kopie nicht ennitteit werden, da 
die vorhergehende Transaktion Daten im Zustand ''dataj>repared" zurQckgelassen hat, wird dies der AppEka- 
tion mitgeteiit, damit diese kl3re& kum, welche Daten gultig sind. 

Ein geeignetes Chipkarten-Kommando aair Vorbereitung des Schreibvorgangs, z. B. "Schreiben vorbereiten' 
Oder 'l^repare to commif, bewirk^ daB aus dem Zustand 'data^opened' in den Zustand 'data j)repared'' 
ubergegangen wird. In alien anderen Zustinden ist dieser BefeU mcht erlaubt Dies wird dies der Applikation 
mitgetdlt und es findet keine Zustandsinderung statt 

Ein weiteres geeignetes Chipkarten-Kommando zur DurchfQhning des Schreibvorgangs, z. B. "Schreiben'' 
Oder "conunif , bewirkt, daB aus dem Zustand "data^repared" der Kopie in den Zustand '*data_conimitted'' 
fibergegaogen wird In alien anderen Zustinden ist dieser Bef ehl ungQlttg und es findet kdne Zustandsdnderung 
statt 

SchlieBlidi bewirkt em anderes Chipkarten-Kommando zum Abbrechen des Schreibvorgangs, z. B. "Schrei- 
ben abbrechen" oder "unroll*, daB aus dem Zustand *data_opened" oder "dataj>repared* in den Zustand 
"data unrolled" Qbergegangen wird. In alien anderen ZustSnden ist das Kommando ungiiltig und es findet keine 
Zusttmdsanderung statt 

Tabelle 4 zeigt Bebpiele fOr den Transaktionsablauf einer vollstindigen Transaktion 



Original 


Kopie im Schatten- speicher 


Zustwd 


Zahler 


Daten 


Zustand 


Zahler. 


Daten 


Zas-tand vor Beginn der Transaktion 


Oil 


1 


ABCDEF 


Ixx 


0 




Zustand nach dem Start der Transaktion 


Oil 


1 


ABCDEF 


000 


2 


ABCDEF 


Zustand nach elnem Schrelbzugrlf f 


Oil 


1 


ABCDEF 


000 


2 


X7ZDEF 


Zustand nach 'prepare to conmilt' 


Oil 


1 


ABCDEF 


001 


2 


XYZDEF 


Zustand nach •commit' 


Oil 


1 


ABCDEF 


Oil 


2 


XYZDEF 


111 


1 


ABCDEF 


Oil 


2 


XTZDEF 



8 



DE 196 00 081 Al 

Tabelle 5 zdgt Bd^defBr denTVansaldonsablatif dnerabgebradieiieaThui^^ 



Original 


Kople Im 


Schatten- 


speicher 


Zustand 


Zahler 1 


Daten 


Zustand | 


ZShler 


Daten 


Zustand vor Beginn der Transaktion 


Oil 


^ ! 


ABCDEF 


Ixx 


0 




Zustand nach dem Staxrt der Transaktion 


Oil 1 


1 


ABCDEF 


000 




ABCDEF 


Zustand nach elnem Schreibzugriff 


Oil 




ABCDEF 


000 




XYZDEF 


Unterbrechung der Transaktion 
Transaktion wird neu gestartet 
Zustand vor Neubeginn der Transaktion 


Oil 


1^ 


ABCDEF 


000 


2 


XYZDEF 


Zustand nach dem Start der Transaktion 




Oil 


1 


ABCDEF 


000 


2 


ABCDEF 


Oil 


1 


ABCDEF 


101 


2 


XYZDEF 


weiter mit 


, normaler Traxisalction 



Patentaiis{)rQche 

1. Verj^en zur Sidicrung der Integritslt von Daten bei einer Kommunikation unter Beteiligung einer 
Datentragerkart^ dadnrcii gdranzeidm^ dafi eine Sequenz von SchretbvorgaDgen, fur die die Integritat 
der zu schreibenden Daten dchergestettt werden soU aof der Chipkarte als eine Int^rationseinheit defi- 
niertwird. 

2 Verf aiiren nach Anspruch 1, dadurch gekennzeichnct, daB die Integritatsdnheit durch eine Kennung 
identifiaertwini . . t • • 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnct, daB der Start der Integntatsemheit nut 
einemdefiniertenStartkonmiandoangezeigtwird. . , . j u 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnct, daB der Start der Integntatsemheit durch 
eine Startkennung fur ein jedes Schreibkommando zum Schreiben der IntegritStseinheit festgelegt wird. 

5. Verfahren nach einem der vorstehenden Anspriiche, dadurch gekennzeichnct, daB das Ende der Integri- 
tatseinheit mit einer Sequenz von Kommandos angezeigt wird, die bei einem erfolgreich durchgefOhrten 
Obertragungsvorgang zu einem festen Sdireiben der Daten in einem Speicher der Oiipkarte fOhren oder 
bei dnem nidit CTfoIgreichen Obertragungsvorgang den Schreibvorgang abbrechea 

6. Verfahren nach einem der vorstehenden AnsprOche, dadurch gekennzeidmet, daB ein Sdiattenspeicher 
verwendet wiid, in den Daten der Integritttseinhdt gesdirieben werden kdnnen. 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnct; daB der Schattenspeidier durch koniplette Kopien 
der Dateien, in die die Daten geschrieben werden soflen oder durch KofMeren des Datenteiis dner Datei der 
besdirieben werden soD, wobd der Dateikopf einen Verweis auf die Origpmaldaten erhilt unplemendert 
wird. 

8. Verfahren nach Anspruch 6, dadurch gekennzeichnct, daB der Schattenspeicher durch Kopien von 
Dateisatzen, in die die Daten gespeichert werden sollen, in satzorientierten Dateien, impiementiert wrd, 
wobei der Dateikopf Verweise auf aufeinanderfolgende Satze enthalt 

9l Verfahren nach emem der vorstehenden Anspriiche, dadurch gekennzeichnct, daB 

das Ende der IntegritaUeinheit im Falle emer erfolgreichen Obertragung mit einer Sequenz bestehend aus 

dnem ersten und emem zweiten Kommando angezeigt wird, wobei das erste Kommando die Verweise auf 
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neue guldge Daten so vorbereitet» daB mit dnem Minimum an bendtigten Schreibaufwand die GQitigkeit 
der neuen Daten festgelegt werden kann, und das zweite Kommandb die GQitigkeit der neuen Daten 
festl^ dne Rudcmeldmig an das Schreib-LesegerSt gibt uid die neuen Daten ais gOldge Daten f estlegt; 
und 

das Ende der IntegritHtseinheit im Falle einer nichterfolgreichen Obertragung durch dn Kommandg das ein 
Abbredien des Sdu^ibvorgangs der Integritatseinheit bewirk^ angezeigt wird 

la Verf ahren nadi Aosprudi 9, dadurdi gekennzeidme^ daB das Fesdegen der GQltvgkdt der neuen Daten 
durch ein Aniegen eines Datenveizeidmisses erfolgt, wetehes Verweise auf die jewdis gOltigen Daten 
entMlt 

1 1. Verfahren nadi Anspruch 9 oder 10, dadurch gekemizeichnet, daB der Speidier nach DurchfOhning der 
entsprechenden Kommandos fOr die bisher gOitigen Daten freigegeben wird und als ein wdterer Sdiatten- 
speidier verwendet werden kann. 

IZ Verfaliren nach einem der vorstehenden AnsprQdie 6—11, dadurch gekennzeidmet, daB die Zuordnung 
des Speicherbereiches zum Schattenspeidier nach Bedarf, als ein dynamischer ProzeB, erfolgt 

13. Verfahren nach einem der vorstehenden Anspnidie 6—11, dadurch gekennzeichnet, daB Anderungen 
nur an den in dem Sdiattenspeicher geschriebenen Daten ausgefuhrt werden. 

14. Verfahren nach einem der vorstehenden Anspruche, dadiffch gekennzdchnet, daB ein Status-Komman- 
do durchgefOhrt wird, um den Status der Integritatseinhdt zu eifragen, d h. beispidsweise ob und wddie 
Integritatseinheit noch nicht beendet ist 

15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, daB aufgrund der aus dem Status-Konimando 
gewonnenen Information die Integritatseinheit bei einem Fehler abgebrocfaen wird 

16. Verfahren nach Anspruch 15, dadurch gekennzeichnet* daB die Integritatseinheit nach einem Fehler in 
dem Schreib-Lesegerat, in dem Schreibvorgang ^olgen soDte, abgebrochen und in dnem anderra Sdurdb- 
Lesegerat geordnet beendet wird 

17. Verfahren entsprechend einem der vorstehenden Anspruche, dadurdi gekennzek^hnet, daB die Integri- 
tatseinheit eine Transaktion ist, die unteiibar, konsistenzerhalteod, isoliert und dauerhaft ist 

18. Verfahren entsprechend einem der vorstehenden Anspruche 6—17, dadurch gekennzeidmet» daB ein 
Datenbestand der verSndert werden soli, m den Schattenspdcher duplidert wird und Anderungen nur an 
einer Halfte der Daten, dso entwed^ der Kopie oder dem Original, ausgefOhrt werden. 

19. Verfehren nach Anspruch 18, daduidi gekennzeichnet, daB die Anderungen nur an der in dem Schatteur 
speicher abgelegten Kopie durchgefuhrt werden. 

2a Verfahren nadi Anspruch 18 oder 19, dadurdi gdcennzeichnet; daO^ wenn die Sequenz von Schreibvor- 
gangen erf olgreidi durdigefuhrt wurd^ die verSnderte Hilfte der Daten zum gultigen Teil erklSrt wird und 
wenn die Sequenz von ^hreibvorgingen nidit erfolgrddi durchgefOhrt wiude^ cUe unver3nderte Halfte 
gultigbleibt 

21. Verfahren nach einem der Anspruche 18 bis 20, dadurch gdcennzdcfanet, daB dn Mbdulo-Zafaler zur 
Unterscheidung von Kopie und Original verwendet wird 

22. Verfahren nach einem der Anspruche 18 bis 21, dadurch gekennzeichnet, daB eine Reprasentadon einer 
Zustandsfolge benutzt wird die es eriaubt nur durch Aktivieren von Speicherzellen die Zustandsfolgen zu 
durchlaufen. 

23. Verwendung des Verfahrens entsprechend einem der vorstehenden Anspruche, um Datenbestdnde 
auBerhalb einer Chipkarte konsistent mit den Daten auf der Chipkarte zu halten. 

24. System mit mindestens einer DatentrSgerkarte, die geeignet ist Daten zu speichem, dadurch gekenn- 
zeidinet, daB bei einer Kommumkation unt^ BetelGgung der Datentragerkarte zur Sicherung der Integri* 
tat von Daten erne Sequenz von Schreibvorgingen, fOr die die Integritat der zu schreibenden Daten 
sichergestellt werden soU, auf der Chipkarte als eine Integradonseinheit definiert wird 
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